Шифровальщик helps@tutanota.com

[Racuda]

Зашифрованы файлы на локальной машине и на подключенных папках сетевого хранилища Synology. Заражение кажется произошло через удаленный рабочий стол. Прикладываю отчеты и требование вредителей. Помогите. Заранее спасибо.

Логи.

FRST.rar

README.rar

CollectionLog-2018.05.29-01.00.zip

[Sandor]

Здравствуйте!

 

Пару небольших поврежденных файлов упакуйте и прикрепите к следующему сообщению.

[Racuda]

Здравствуйте!

 

Пару небольших поврежденных файлов упакуйте и прикрепите к следующему сообщению.

ok

 

Здравствуйте!

 

Пару небольших поврежденных файлов упакуйте и прикрепите к следующему сообщению.

ok

 

helps@tutanota.zip

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction ? <==== ATTENTION
  2018-05-28 03:09 - 2018-05-28 03:09 - 000009026 _____ C:\WINDOWS\SysWOW64\README.hta
  2018-05-28 03:09 - 2018-05-28 03:09 - 000009026 _____ C:\WINDOWS\SysWOW64\Drivers\README.hta
  2018-05-28 03:09 - 2018-05-28 03:09 - 000009026 _____ C:\WINDOWS\system\README.hta
  2018-05-28 03:09 - 2018-05-28 03:09 - 000009026 _____ C:\WINDOWS\README.hta
  2018-05-28 03:09 - 2018-05-28 03:09 - 000009026 _____ C:\Users\User4\Downloads\README.hta
  2018-05-28 03:09 - 2018-05-28 03:09 - 000009026 _____ C:\Users\User4\Documents\README.hta
  2018-05-28 03:05 - 2018-05-28 03:05 - 000009026 _____ C:\Users\User4\AppData\Roaming\README.hta
  2018-05-28 03:05 - 2018-05-28 03:05 - 000009026 _____ C:\Users\User4\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta
  2018-05-28 03:05 - 2018-05-28 03:05 - 000009026 _____ C:\Users\User4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta
  2018-05-28 03:05 - 2018-05-28 03:05 - 000009026 _____ C:\Users\User4\AppData\LocalLow\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Все пользователи\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\User4\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\User4\AppData\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\User4\AppData\Local\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Public\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Public\Documents\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default\Documents\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default\AppData\Roaming\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default\AppData\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default\AppData\Local\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default User\Documents\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default User\AppData\Roaming\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default User\AppData\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\Users\Default User\AppData\Local\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\ProgramData\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.hta
  2018-05-28 03:03 - 2018-05-28 03:03 - 000009026 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\README.hta
  2018-05-28 03:00 - 2018-05-28 03:00 - 000009026 _____ C:\Program Files (x86)\README.hta
  2018-05-28 02:59 - 2018-05-28 02:59 - 000009026 _____ C:\Program Files\README.hta
  2018-05-28 02:59 - 2018-05-28 02:59 - 000009026 _____ C:\Program Files\Common Files\README.hta
  2018-05-28 02:58 - 2018-05-28 02:58 - 000009026 _____ C:\Users\User4\Desktop\README.hta
  2018-05-28 02:58 - 2018-05-28 02:58 - 000009026 _____ C:\README.hta
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Постарайтесь найти пару зашифрованный и его не зашифрованный оригинал. Ищите такой в резервных копиях, в почте, на других ПК и т.п.

[Racuda]

ok

Fixlog.txt

пара.RAR

[g0105]

Аналогичная фигня произошла сегодня ночью.... если получиться расшифровать лекарство будет одинаково? или мне тоже логи присылать?

[Sandor]

@g0105, здравствуйте!

 

или мне тоже логи присылать?

Да, причем, для этого создайте свою тему.

[regist]

@Racuda, проверьте ЛС.

[Racuda]

Спасибо БОЛЬШОЕ!

Сработало на половину. 2/3 файлов раскрылись.

Похоже одновременно два шифровальщика работало.

Во вложении все необходимые файлы.

всевместе.RAR

[regist]

ожидайте.

Изменено 31 мая, 2018 пользователем regist

[regist]

проверьте ЛС.

[Racuda]

Спасибо! Все расшифровалось.

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.